Sidewinder Bilgisayar Korsanları Kötü Amaçlı Yazılım Yüklemek İçin Silahlı Belgeler Kullanıyor

   Aralık 19, 2023  Posted in GBHackers


Sidewinder APT grubunun gelişmiş tehdit ortamı, Nepal Hükümeti kuruluşlarını hedef alan yetenekli ve kalıcı bir tehdidi ortaya koyuyor.

Odak noktaları Güney Asya hükümetlerine kadar uzanıyor ve araştırmacılar aynı zamanda Butan’a yönelik yakın zamanda gerçekleşen karmaşık bir saldırıyı da tespit ediyor.

Cyfirma’daki siber güvenlik araştırmacıları yakın zamanda Sidewinder hacker grubunun operatörlerinin arka kapıları dağıtmak için silahlı belgeleri aktif olarak kullandığını tespit etti.

Aşağıda Sidewinder APT grubunun diğer tüm isimlerinden bahsettik: –

  • Çıngıraklı yılan
  • Sert Milliyetçi
  • HN2
  • APT S4
  • jilet kaplan
  • APT Q39
  • BebekFil
  • GrupA21

Sidewinder Hacker Grubu

Nepal Başbakanlık Ofisi iletişimlerine benzeyen sahte belgeler kullanan grup, e-posta hedefli kimlik avı ve kötü amaçlı makrolar gibi gelişmiş taktikler kullanıyor.

Bu nedenle paydaşların acil ilgisi ve koordineli eylemi hayati önem taşıyor.

Ana veri yükü “conhost.exe”de (Nim Backdoor), tüm URL’ler sabit kodlanmıştır ve aşağıdaki IP adresine yerleştirilmiştir: –

Aşağıda tüm URL’lerden bahsettik: –

  • http[:]//posta[.]kalıba dökmek[.]hükümet[.]org/mail/AFA/
  • http[:]//nitc[.]hükümet[.]org/mail/AFA/
  • http[:]//dns[.]hükümet[.]org/mail/AFA/
  • http[:]//mx1[.]Nepal[.]hükümet[.]org/mail/AFA/

Hedef odaklı kimlik avı yapılan e-posta, açıldığında gömülü bir makroyu tetikleyen kötü amaçlı bir belge sunar. Belge, düzenlemeyi etkinleştirmesini istediğinde kurban manipüle ediliyor.

Kötü amaçlı belge
Kötü amaçlı belge (Kaynak – Cyfirma)

Yanıltıcı içerik, Nepal hükümet yetkililerinin hedef alındığını ima ediyor. Belgenin çok aşamalı bir saldırının parçası olan yerleşik makrosu kalıcılık sağlar ve yükleri çalıştırır.

Belgenin açılması makroyu tetikler ve kalıcılık için bir VBScript dosyası oluşturur. Kodlanmış toplu dosyaları çalıştırmadan önce gecikmelere neden olur ve internet bağlantısını kontrol eder.

Toplu komut dosyası, VBScript’in ve diğer toplu iş dosyalarının yürütülmesini, zamanlanmış görevlerin oluşturulmasını ve dosyaların kendiliğinden silinmesini yönlendirir. Read_shell gibi işlevler bir dosyaya ikili veri yazarken hide_cons konsol penceresini gizler.

Vb_chain işlevi, virüslü sistemde bir olaylar zinciri oluşturmak için komut dosyaları oluşturma ve yürütme ve görevleri zamanlama dahil olmak üzere çeşitli eylemleri koordine eder.

VBScript dosyası unzFile.vbs, conhost.zip dosyasındaki içerikleri çıkarır. Aşağıdaki toplu iş dosyası komut dosyalarını yürütür, görevler oluşturur ve temizleme işlemini gerçekleştirir: –

  • 2L7uuZQboJBhTERK.one
  • 2BYretPBD4iSQKYS.bat
  • d.bat
  • e.bat

Makro, aşağıdaki unsurlardan yararlanarak, gizleme ile gelişmiş kaçınma sergiler: –

  • VBScript
  • Toplu dosyalar
  • Zamanlanmış görevler

Bunun yanı sıra, çok aşamalı yürütülmesi, tüm analizi daha zorlu ve karmaşık hale getiriyor.

Makroların etkinleştirilmesi, komut dosyalarının ve Nim arka kapısı benzeri conhost.exe dosyasının dağıtımını tetikler. Bu yürütülebilir dosya, yetkisiz erişim için tehdit aktörlerinin C2 sunucusuna bağlanmayı amaçlıyor ve bu da Eylül ayından bu yana devam eden bir kampanyaya işaret ediyor.

Ters kabuk örneği, tehdit aktörlerinin ters kabuk aracılığıyla erişmesine olanak tanıyarak güvenliği ihlal edilen sistem üzerinde kontrol sağlar. Trojan.khalesi dinamik analizleri engeller, tespit eder ve araçlar bulunursa çıkılır.

İkili program çeşitli izleme ve analiz araçlarını hedefler. İşlem ağacı, büyük olasılıkla bilgi toplama veya sistem izleme amacıyla görev listesi.exe’yi yürütmek için cmd.exe’nin periyodik kullanımını ortaya çıkarır.

.exe dosyaları
.exe dosyaları (Kaynak – Cyfirma)

Öneriler

Aşağıda, güvenlik analistleri tarafından sağlanan tüm önerilerden bahsettik: –

  • Sağlam uç nokta güvenliği kullanın.
  • Saygın antivirüs ve kötü amaçlı yazılımdan koruma kullanın.
  • İşletim sistemini, uygulamaları ve güvenlik yazılımını düzenli olarak güncelleyin.
  • Ağı segmentlere ayırın.
  • Çalışanlarınızı kimlik avı ve sosyal mühendislik tehlikeleri konusunda eğitin ve eğitin.
  • Giden iletişimi engellemek için güvenlik duvarlarını yapılandırın.
  • Davranış tabanlı izlemeyi dağıtın.
  • Uygulama beyaz listeye alma politikaları oluşturun.
  • Ağ trafiğini yakından izleyin.
  • Kapsamlı bir olay müdahale planı oluşturun.
  • Tehdit istihbaratı ve IOC’ler konusunda güncel kalın.
  • Kritik verilerin düzenli olarak yedeklenmesini sağlayın.
  • Koruma önlemlerini uygulayın.
  • Kullanıcı izinlerini kısıtlayın.

IOC’ler

IOC'ler
IOC’ler (Kaynak – Cyfirma)



Source link